我正在运行完全更新的 Ubuntu 服务器 LTS 版本。今天我运行了 rkhunter(我时不时会这样做)。这是我得到的输出:
Warning: The file properties have changed:
[15:52:25] File: /bin/ps
[15:52:25] Current hash: f22991ec93ae966c856d367f42fc3d8a484bd827
[15:52:25] Stored hash : 1892268bf195ac118076b1b0f53e7a637eb6fbb3
[15:52:25] Current inode: 142902 Stored inode: 130894
[15:52:25] Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:25] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)
Warning: The file properties have changed:
[15:52:33] File: /usr/bin/ldd
[15:52:33] Current hash: f1e2ca5aa3a28994e2cebb64c993a72b7d97b28c
[15:52:33] Stored hash : 295d9cedb121a5e431a39a6d201ecd7ce5640497
[15:52:33] Current inode: 2236210 Stored inode: 2234359
[15:52:33] Current size: 5280 Stored size: 5279
[15:52:33] Current file modification time: 1331165514 (07-Mar-2012 16:11:54)
[15:52:33] Stored file modification time : 1295653965 (21-Jan-2011 15:52:45)
Warning: The file properties have changed:
[15:52:37] File: /usr/bin/pgrep
[15:52:37] Current hash: 3eada9a96760f3e2c9111cfe32901d1432813c1d
[15:52:37] Stored hash : ce265d0db9964b173fe5036f703a9b8d66e55df3
[15:52:37] Current inode: 2229646 Stored inode: 2224867
[15:52:37] Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:37] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)
Warning: The file properties have changed:
[15:52:41] File: /usr/bin/top
[15:52:41] Current hash: 6be13737d8b0950cea2f1ae3a46d4af713dbe971
[15:52:41] Stored hash : c7b495ecef3982eeb6f08a511861b1a1ae8775e6
[15:52:41] Current inode: 2229629 Stored inode: 2224862
[15:52:41] Current file modification time: 1324307913 (19-Dec-2011 07:18:33)
[15:52:41] Stored file modification time : 1260992081 (16-Dec-2009 11:34:41)
Warning: The file properties have changed:
[15:52:53] File: /usr/sbin/cron
[15:52:53] Current hash: e783ca973f970aa8a4bf5edc670e690b33914c3d
[15:52:53] Stored hash : 4718257a8060736b9058aed025c992f02a74a5a7
[15:52:53] Current inode: 2224719 Stored inode: 2228839
[15:52:54] Current file modification time: 1330965568 (05-Mar-2012 08:39:28)
我还遗漏了其他一些。我的服务器是否已被 root?我正在运行 fail2ban 并监控失败的 ssh 登录。什么也没出现。有人可以将这些哈希与他们的 Ubuntu Server (lts) 副本进行比较吗?请告诉我这些是误报.....
编辑:
这是所有具有奇数 md5 值的文件的列表:
kill
ps
ldd
pgrep
top
vmstat
w
watch
w.procps
sysctl
cron
这看起来不太好。我将使用相同的发行版创建一个虚拟机并更新它,然后再次运行 rkhunter。如果我被黑客入侵了,他们究竟是如何进入的?SSH 在非标准端口上,我正在运行 fail2ban 并每天检查日志。我正在运行 apache,但 www-data 没有任何可写权限。我很困惑。
答案1
从时间戳来看,您似乎更新了 12 月 19 日 7:30 左右构建的几个程序。
修改时间戳应该是构建时间戳。这取决于它们如何移动到位。一些程序通过 /etc/alternatives 链接,符号链接将具有安装的时间戳。这可能是自动安全更新。
/var/log/apt/history.log从此检查您的文件。它可能被压缩和旋转,但可以使用zless. If you use aptitude to do your updates, check its log/var/log/aptitude.log` 读取。许多软件包都有 md5sum,可用于验证它们包含的文件是否未被修改。从包含比较校验和的只读媒体运行静态链接工具是最安全的。但是,如果您认为 md5 工具链没有被泄露,则可以使用本地文件。
此类程序rkhunter通常需要开关来启用更新其校验和数据库。您可能希望在运行更新之前运行该程序,然后在更新之后再次使用开关来捕获更改的哈希码。
答案2
答案3
好吧,如果您的系统受到了损害,那么您无论如何都不能相信您的日志。
如果您自 2009 年以来没有运行过 rkhunter,并且您已经更新了系统,那么这些可能是误报。否则,是时候仔细查看您的备份了。
答案4
由于您提到 Ubuntu 确实带有 APT,发生这种情况是因为您通过更新可执行文件,apt update && apt upgrade但 rkhunter 的数据库没有相应更新。
要么做手动和:
sudo rkhunter --update --propupd
每次apt update && apt upgrade
或者自动地:
在/etc/rkhunter.conf集合中
PKGMGR='DPKG'
并在/etc/default/rkhunter集合中
APT_AUTOGEN="true"